Glossaire · Certification européenne de cybersécurité EUCC (Schéma européen de certification de cybersécurité fondé sur les Critères communs)
Premier schéma européen de certification de cybersécurité adopté au titre du Cybersecurity Act. Adopté par le règlement d'exécution (UE) 2024/482 de la Commission en février 2024. Il s'applique aux produits TIC (matériel, logiciels, composants) et repose sur la norme internationale Critères communs, assortie de niveaux d'assurance propres à l'UE.
## Ce qu'est réellement l'EUCC
EUCC, c'est le **Schéma européen de certification de cybersécurité fondé sur les Critères communs**. Il s'agit du premier schéma de certification de cybersécurité adopté à l'échelle de l'UE dans le cadre instauré par le Cybersecurity Act européen (Règlement 2019/881).
L'EUCC a été adopté en **février 2024** par le règlement d'exécution (UE) 2024/482 de la Commission, après plusieurs années de travaux préparatoires conduits par l'[ENISA](/fr/glossary/enisa/). Il couvre les produits TIC — matériel, logiciels et composants — et repose sur la norme internationale Critères communs (ISO/IEC 15408), socle mondial de la certification de cybersécurité au niveau produit depuis les années 1990.
Point important : l'EUCC n'est **pas** la même chose que l'[EUCS](/fr/glossary/eucs/). L'EUCC concerne les produits. L'EUCS est le schéma proposé (et contesté) pour les services cloud. Ce sont deux règlements jumeaux qui traitent de catégories différentes.
## Pourquoi l'EUCC compte
Avant l'EUCC, la certification de cybersécurité des produits TIC en Europe était éclatée entre schémas nationaux. La France avait la CSPN (délivrée par l'ANSSI). L'Allemagne disposait de la certification Critères communs du BSI. Les Pays-Bas, l'Italie, l'Espagne et les pays nordiques avaient leurs propres variantes. Un produit certifié dans un pays n'était pas automatiquement reconnu dans un autre, même quand les deux certifications reposaient sur les Critères communs.
L'EUCC referme cette faille en créant une certification unique à l'échelle de l'UE, assortie d'une reconnaissance mutuelle dans tous les États membres. Un dispositif certifié au niveau d'assurance « élevé » de l'EUCC en Allemagne dispose désormais de la même valeur juridique en France, en Italie et partout dans l'UE.
## Ce que l'EUCC certifie
L'EUCC certifie des *cibles d'évaluation* — généralement :
- **Modules matériels de sécurité (HSM)** — pour la gestion des clés cryptographiques
- **Cartes à puce et éléments sécurisés** — cartes de paiement, puces d'eID, cartes SIM
- **Systèmes embarqués** — IoT, contrôle industriel, automobile
- **Noyaux de systèmes d'exploitation et composants critiques pour la sécurité**
- **Équipements réseau** — pare-feu, équipements de chiffrement
- **Produits PKI / autorités de certification**
Le périmètre de certification est le produit réel, évalué au regard d'un ensemble défini d'exigences fonctionnelles de sécurité et d'un niveau d'assurance.
## Niveaux d'assurance EUCC
L'EUCC définit deux niveaux d'assurance au-delà du socle « élémentaire » du Cybersecurity Act :
### Substantiel
Équivalent aux niveaux EAL 1 à EAL 4 des Critères communs. Inclut une évaluation des vulnérabilités fondée sur des menaces publiquement connues, des tests d'intrusion de base et des exigences documentaires standard. Adapté aux produits de sécurité à usage général.
### Élevé
Équivalent aux niveaux EAL 5 à EAL 7 des Critères communs. Inclut une évaluation poussée des vulnérabilités, des tests d'intrusion sophistiqués contre des menaces de niveau étatique, une modélisation formelle de la sécurité pour les fonctions critiques et un examen approfondi de la documentation de conception. Requis pour les produits qui touchent à la sécurité nationale, aux infrastructures critiques ou aux transactions financières majeures.
Les deux niveaux supposent une évaluation en laboratoire par un organisme d'évaluation de la conformité accrédité. Les certifications de niveau « élevé » exigent en outre la supervision d'une autorité nationale de certification (NCA) — c'est-à-dire que l'agence nationale de cybersécurité (ANSSI en France, BSI en Allemagne) valide directement l'évaluation.
## Articulation de l'EUCC avec les schémas existants
L'EUCC absorbe et remplace explicitement les schémas nationaux existants fondés sur les Critères communs :
| Schéma pré-EUCC | Pays | Statut au titre de l'EUCC |
|------------------|---------|---------------------|
| CSPN | France (ANSSI) | Maintenu pour l'instant ; chevauche le « substantiel » EUCC |
| Critères communs BSI | Allemagne | Certifications EUCC pleinement reconnues |
| OCSI | Italie | EUCC pleinement intégré |
| CCN | Espagne | Certifications EUCC reconnues |
| NSCIB | Pays-Bas | EUCC pleinement intégré |
Les schémas nationaux continuent d'exister pendant une période de transition. À terme, ils seront soit absorbés par l'EUCC, soit maintenus pour des cas d'usage très restreints (par exemple les produits classifiés au niveau national).
## Obligatoire ou volontaire ?
Dans le cadre du Cybersecurity Act, les certifications européennes de cybersécurité sont par défaut *volontaires*. Les fournisseurs peuvent certifier leurs produits pour en tirer un avantage commercial, sans y être contraints.
Les États membres peuvent cependant rendre la certification EUCC *obligatoire* pour certaines catégories de produits par voie de droit national. Plusieurs le font déjà :
- **France** : l'ANSSI rend l'EUCC de fait obligatoire pour les produits fournis aux marchés publics et aux opérateurs de services essentiels
- **Allemagne** : le BSI intègre la certification EUCC dans la réglementation des infrastructures critiques
- **Estonie, Finlande, Pays-Bas** : alignement des cadres nationaux d'achats publics en faveur de l'EUCC
Le [Cyber Resilience Act](/fr/glossary/cyber-resilience-act/), qui impose à l'échelle de l'UE des exigences de cybersécurité au niveau produit, renvoie à l'EUCC comme voie reconnue d'évaluation de la conformité. Les produits certifiés EUCC bénéficient d'une présomption de conformité au titre du CRA. C'est le principal moteur d'adoption.
## EUCC et fournisseurs au siège américain
À la différence de [SecNumCloud](/fr/glossary/secnumcloud/) et des critères de souveraineté contestés de l'EUCS, l'EUCC n'impose pas d'exigences de structure capitalistique ou juridictionnelle au *fournisseur*. Un fabricant de matériel dont le siège est aux États-Unis peut obtenir une certification EUCC pour un produit conçu et fabriqué conformément à la norme.
Ce que l'EUCC exige, c'est que l'*évaluation* soit conduite par un laboratoire accrédité basé dans l'UE, sous supervision européenne. Le produit peut être fabriqué n'importe où ; l'évaluation, elle, doit se dérouler à l'intérieur du périmètre réglementaire de l'UE.
C'est cohérent avec la tradition Critères communs : reconnu mondialement, évalué localement.
## Ce que l'EUCC change concrètement
### Pour les fabricants de produits TIC
Si vous vendez des modules matériels de sécurité, des cartes à puce, des systèmes embarqués sécurisés ou des équipements réseau sur les marchés européens, la certification EUCC s'impose comme une attente de base, et non plus comme un facteur de différenciation. Les acheteurs publics et les industries régulées refuseront de plus en plus les produits non EUCC pour les usages sensibles.
### Pour les acheteurs européens
La certification EUCC constitue une preuve substantielle de la sécurité d'un produit. Un produit titulaire d'une certification EUCC « élevé » a été évalué par un laboratoire européen accrédité sous la supervision d'une autorité nationale de cybersécurité. C'est matériellement différent d'allégations de sécurité auto-déclarées.
### Pour les fournisseurs américains et internationaux
Participer à l'EUCC suppose un investissement — généralement de 200 000 à 500 000 euros pour une certification de niveau « substantiel » sur un produit de complexité modérée, nettement plus pour le niveau « élevé ». Cette barrière est volontaire. Les fournisseurs prêts à investir dans une certification EUCC signalent un engagement sérieux sur les marchés européens.
### Pour les chercheurs en cybersécurité
Les rapports de certification EUCC publiés deviennent une documentation publique de qualité sur les caractéristiques de sécurité des produits. Ces rapports sont consultables dans la base de données de certification de l'ENISA.
## Ce qu'apporte la période 2026-2027
- **Davantage de produits certifiés au niveau « élevé »** à mesure que le schéma mûrit
- **Finalisation de l'EUCS** — le schéma jumeau pour les services cloud, encore politiquement contesté sur les critères de souveraineté
- **Schéma européen de certification 5G** dans la lignée de l'EUCC, vraisemblablement en 2027
- **Certification européenne IA** en discussion comme possible troisième schéma de niveau européen
- **Négociations de reconnaissance croisée** avec des régimes de certification hors UE (notamment le FIPS américain et les schémas britanniques émergents)
## Implications pratiques
- **Pour les entreprises européennes qui choisissent des produits TIC** : la certification EUCC est pertinente et de plus en plus déterminante dans les appels d'offres
- **Pour les fabricants européens de TIC** : investir dans la certification devient nécessaire pour viser sérieusement le secteur public européen
- **Pour les fabricants américains et internationaux** : l'EUCC est la voie d'accès au secteur public européen pour les produits critiques en matière de sécurité
- **Pour les régulateurs européens** : l'EUCC est la pierre angulaire ; il faut s'attendre à des schémas parallèles pour le cloud (EUCS), la 5G, l'IA et d'autres domaines technologiques
L'EUCC pose le précédent d'une certification européenne de cybersécurité qui fonctionne au-delà des frontières sans préjuger des questions de souveraineté. L'EUCS — pour le cloud — pose la même question, mais avec des réponses politiquement bien plus contestées.
Cela vous a-t-il été utile ?
Merci pour votre retour !